Autenticación de Windows: Delegación restringida de Kerberos con Microsoft Entra ID

En función de los nombres de entidad de servicio, la delegación restringida de Kerberos (KCD) proporciona delegación restringida entre recursos. Requiere que los administradores de dominio creen las delegaciones y se limita a un único dominio. Puede usar KCD basada en recursos a fin de proporcionar autenticación Kerberos para una aplicación web que tiene usuarios en varios dominios dentro de un bosque de Active Directory.

Microsoft Entra Application Proxy puede proporcionar inicio de sesión único (SSO) y acceso remoto a las aplicaciones basadas en KCD que requieren un vale de Kerberos para el acceso y la delegación restringida de Kerberos.

Para habilitar el inicio de sesión único en las aplicaciones de KCD locales que usan la autenticación integrada de Windows (IWA), conceda permiso a los conectores de red privados para suplantar a los usuarios en Active Directory. El conector de red privada usa este permiso para enviar y recibir tokens en nombre de los usuarios.

Cuándo usar KCD

Use KCD cuando exista la necesidad de proporcionar acceso remoto, proteger con autenticación previa y proporcionar SSO a las aplicaciones IWA locales.

Diagrama de la arquitectura

Componentes del sistema

  • Usuario: accede a la aplicación heredada a la que Application Proxy ofrece servicio.
  • Explorador web: Componente con el que el usuario interactúa para acceder a la dirección URL externa de la aplicación.
  • Microsoft Entra ID : autentica al usuario.
  • Servicio Application Proxy: actúa como proxy inverso para enviar solicitudes del usuario a la aplicación local. Se encuentra en Microsoft Entra ID. Application Proxy puede aplicar directivas de acceso condicional.
  • Conector de red privada: instalados en servidores locales de Windows para proporcionar conectividad a la aplicación. Devuelve la respuesta a Microsoft Entra ID. Realiza la negociación de KCD con Active Directory, suplantando al usuario para obtener un token de Kerberos para la aplicación.
  • Active Directory: envía el token kerberos para la aplicación al conector de red privada.
  • Aplicaciones heredadas: Aplicaciones que reciben solicitudes de usuario de Application Proxy. Las aplicaciones heredadas devuelven la respuesta al conector de red privada.

Implementación de la autenticación de Windows (KCD) con Microsoft Entra ID

Explore los recursos siguientes para obtener más información sobre cómo implementar la autenticación de Windows (KCD) con Microsoft Entra ID.

Pasos siguientes